옥타가 설명하는 아이덴티티 공격의 5가지 유형과 대처법
최근 기업 해킹 사고의 대부분은 임직원의 계정이 탈취되는 데에서 시작된다. 한-일간 IT 갈등을 빚고 있는 ‘라인 사태’의 시발점도 계정 탈취였다. 네이버 클라우드 협력사 직원의 계정이 탈취돼 라인 쪽 개인정보가 유출된 것이다. 지난 달 해외에서 논란이 됐던 스노우플레이크 고객사 개인정보 유출도 계정탈취에서 시작된 것으로 전해진다.
과거에는 기업의 정보자산이 오직 내부 시스템에만 존재했기 때문에 네트워크 단에서 보안을 강화하는 것으로 어느 정도 해커를 막을 수 있었다. 하지만 이제는 각종 클라우드 인프라 및 SaaS(서비스형 소프트웨어) 등 외부에 내부 정보와 고객 정보가 산재해 있다. 내부 네트워크를 아무리 철통같이 막아도 정보가 빠져나갈 수 있다.
이를 위해 해커들이 가장 즐겨 쓰는 방법이 임직원의 인증정보를 탈취하는 방식이다. 2022년 버라이존 데이터 유출부 조사 보고서에 따르면, 현재 데이터 유출 사고의 86%가 인증 정보 도용과 관련이 있는 것으로 나타났다.
아이덴티티 보호 기술을 공급하는 옥타의 장희재 기술총괄 상무는 본사가 지난 4일 서울 양재동 엘타워에서 개최한 ‘클라우드 보안 & 제로트러스트 컨퍼런스 2024’에서 현재 성행하는 해커들의 아이덴티티 기반 공격 패턴과 이를 막기 위한 대처법을 소개했다.
그에 따르면 현재 해커들이 사용하는 아이덴티티 기반 공격 패턴은 크게 5가지 종류로 정리할 수 있다. 가장 간단한 공격 방법은 무차별 대입 공격이다. 사람들이 즐겨 사용하는 단순한 패스워드(ex, 1234, abcd 등)를 무차별적으로 넣어보는 패스워드 스프레이, 다른 곳에서 유출된 아이디-패스워드 쌍을 무차별적으로 넣어보는 크리덴셜 스터핑 방식이 있다.
무차별 대입 공격을 막는 것은 기술적으로 어렵지 않다. 이용자가 복잡한 패스워드를 사용하거나, 다른 사이트에서 사용하지 않는 독립적인 패스워드를 쓰면 된다. 또 다채널인증(MFA)을 도입하면 된다. 하지만 이용자가 위험성을 인지하고 적극적으로 참여해야만 무차별 대입 공격을 막을 수 있다.
피싱도 계정탈취를 위한 주요 수단으로 활용된다. 가짜 사이트로의 접속을 유도하고 입력된 아이디와 패스워드를 훔치는 것이다. 특히 최근에는 MFA 정보까지 훔쳐가는 기법이 등장했다. 이용자가 피싱 사이트에서 아이디와 패스워드를 입력하면, 해커는 실제 사이트에서 이 정보로 로그인한다. MFA가 설정돼 있으면 이용자에게 이메일이나 문자메시지(SMS), 앱 푸시 등을 통해 OTP(일회용 패스워드)가 전송되고, 이용자는 이 OTP 정보를 피싱 사이트에 입력하게 된다. 해커는 이 정보를 실제 사이트에 입력해서 로그인한다. 이처럼 피싱에 속으면 MFA마저 무용지물이 된다.
장 상무는 “조직의 최고경영진 등 IT에 익숙하지 않은 분들은 타깃해서 공격하는 ‘웨일링’이라는 피싱 공격이 성행하고 있다”고 전했다.
푸시 알람 악용도 해커의 도구다. 예를 들어 휴대폰에 푸시 알람이 오면 무심결에 YES를 누르거나 지문인증할 경우가 있다. 내가 어딘가에 로그인하려고 한 것도 아닌데, 그야말로 무심결에 지문인증을 하는 것이다. 장 상무는 “해커들은 MFA 알람을 굉장히 교묘하게 끼워넣는 방식으로 푸시 알람을 수락하도록 유도한다”면서 “해커들은 사용자의 부주의를 악용한다”고 설명했다.
사용자의 정상적인 인증이 끝나고 세션 정보를 훔쳐가는 ‘세션 하이재킹’도 있다. 일반적으로 사용자가 특정 사이트에 로그인을 하면 브라우저는 그 정보를 쿠키에 저장을 하고, 사용자가 그 사이트에 접속을 하면 쿠키가 자동으로 로그인 정보를 서버로 보낸다. 방문할 때마다 귀찮게 로그인하지 않도록 돕는 기술이다.
세션 하이재킹을 이용하는 해커들은 사용자가 로그인을 하면 서버에서 돌려받는 쿠키 세션을 하이재킹한다. 이를 위해 미리 멀웨어 등을 PC에 설치해 둔다. 공격자가 세션 토큰을 확보하면 그 후에는 더이상 인증 자체가 필요없게 된다.
이런 문제를 종합적으로 해결하기 위해서 자사의 패스트패스(FastPass)가 답이 될 수 있다고 소개했다. 패스트패스는 패스워드가 없는 환경(Passwordless)을 제공하는 솔루션이다. 피싱 공격을 막기 위해 피싱 방지가 기본으로 탑재돼 있으며, 생체인증 등의 MFA를 제공한다.
장 상무는 “패스워드리스 환경으로의 전환은 굉장히 어려운 일이라고 생각했었는데 옥타를 이용하면 좀더 쉽게 구현할 수 있다”고 강조했다.
그는 아울러 인증 기술도 중요하지만 아이덴티티 라이프사이클 관리의 자동화가 필수적이라고 덧붙였다. 직원 한 명이 입사해서 부서를 이동하고 퇴사할 때까지의 아이덴티티를 종합적으로 관리해야 한다는 것이다. 예를 들어 입사자의 직급이 변경될 때, 부서가 이동할 때 그에 맞는 아이덴티티와 권한이 자동으로 관리되어야 하며, 퇴사자의 계정은 남아있으면 안된다.
장 상무는 “아이덴티티 라이프사이클 관리가 자동으로 이뤄져야 아이덴티티 공격에 대한 효과적인 보호가 가능할 것”이라고 말했다.
글. 바이라인네트워크
<심재석 기자>shimsky@byline.network